ربما يكون أسوأ خطأ أمني يمكن أن ترتكبه هو ترك مفاتيح وصول سرية للغاية على خادم يواجه الويب. لذا ، عندما يحين وقت تثبيت AWS CLI والمصادقة عليه على مثيل EC2 بعيد ، كيف يمكنك تكوينه؟
يجب أن تستخدم مستخدمي IAM
الإجابة هي بالتأكيد عدم استخدام مفاتيح الوصول إلى الجذر - فهذه هي الرموز الأكثر أهمية في حسابك ، ويمكنها تجاوز أي جهاز مصادقة متعدد العوامل قمت بإعداده. (يمكنك بالفعل إعداد وصول واجهة برمجة تطبيقات محمي بواسطة MFA ولكن ليس لحساب الجذر.)
تقدم AWS خدمة لإصلاح ذلك. تمكّنك وحدة التحكم "إدارة الهوية والوصول" (IAM) من إنشاء مستخدمين أطفال منفصلين عن حساب الجذر الخاص بك. يمكن أن يكون هؤلاء إما مستخدمين للخدمة لديهم وصول إلى واجهة برمجة التطبيقات ، أو حسابات مستخدمين كاملة (مع الوصول إلى وحدة الإدارة في AWS) التي يمكنك استخدامها لحسابات الموظفين.
تمكن كل مستخدم من مستخدمي IAM من الوصول إلى موارد AWS داخل حسابك. يتم التحكم في الوصول من خلال السياسات ، والتي تقدم مجموعة من الأذونات التي تتحكم في ما يمكن لكل مستخدم القيام به. يمكن لهذه السياسات المتعمقة التحكم في كل إجراء يمكنك القيام به في وحدة الإدارة في AWS.
يمكنك أيضًا تعيين حدود الأذونات يدويًا ، والتي تعمل كحد أقصى للإذن لا يمكن للمستخدم تجاوزه ، متجاوزًا أي سياسة قد تمنحه المزيد. إنها ميزة متقدمة تُستخدم لتفويض إدارة الأذونات لموظفي IAM ، وتمكنهم من إنشاء أدوار خدمة إضافية دون تصعيد الامتياز.
كيفية إعداد مستخدمي IAM
من وحدة تحكم إدارة IAM ، انقر فوق علامة التبويب "المستخدمون" وحدد "إضافة مستخدم".
أعطه اسمًا ، ثم حدد الطريقة التي تريد أن يصل بها هذا المستخدم إلى AWS. يمنحك الوصول البرمجي معرف مفتاح الوصول ومفتاح الوصول السري ، يُستخدمان للمصادقة باستخدام AWS API و CLI.
يمكّن الوصول إلى وحدة التحكم الإدارية المستخدم من الوصول إلى وحدة تحكم الويب ، وهو ما تقوم بتمكينه إذا كنت تمنح الموظف إمكانية الوصول. إذا كنت تقوم بإعداد هذا ، فستقوم AWS افتراضيًا بإعطاء كلمة مرور يتم إنشاؤها تلقائيًا وتجبر الموظف على تغييرها عند تسجيل الدخول.
يمكنك منح كلا النوعين من الوصول إذا كنت تريد.
بعد ذلك ، تقوم بتكوين الأذونات. توفر AWS الكثير من السياسات المعدة مسبقًا ، والتي يمكنك إرفاقها مباشرةً بالمستخدم. يمكنك أيضًا إنشاء مجموعة وإضافة المستخدم إلى تلك المجموعة ، مما يمكّنك من إدارة عدة مستخدمين بسهولة أكبر.
حقًا ، لا نوصي باستخدام معظم هذه السياسات المعدة مسبقًا. أنت لا تريد حقًا منح "الوصول الكامل" إلى أي خدمة فردية ، والبديل الآخر هو "للقراءة فقط" ، والذي ربما لا يكون وصولاً كافياً بحد ذاته. بعض الأذونات الأكثر دقة لا بأس بها ، لكن يجب عليك إنشاء أذوناتك الخاصة.
سترى بسرعة سبب اعتبار "الوصول الكامل" فكرة سيئة. لنفترض أنك تقوم بتهيئة خادم يحتاج إلى الوصول إلى S3 وتحميل العناصر. قد ترغب في منحه حق الوصول "للكتابة" ، ولكن هذا يمكّن هذا المستخدم أيضًا من حذف مجموعات كاملة ، وهذا ليس مثاليًا على الإطلاق. الحل الأفضل هو إعطاء إذن "PutObject" ، والذي يتيح إجراء طلبات PUT.
هذه الأذونات مكثفة للغاية وتختلف من خدمة إلى أخرى ، ولكن يمكنك دائمًا النقر فوق علامة الاستفهام بجوار اسم الإذن للحصول على تعريف سريع. خلاف ذلك ، يمكنك قراءة دليلنا لأذونات IAM لمعرفة المزيد.
يمكنك (وربما ينبغي) تقييد الوصول إلى موارد معينة من خلال اسم موارد أمازون (ARN) ، مما يؤدي إلى تعطيل الوصول على مستوى الحساب. هناك أيضًا شروط معينة يمكنك إرفاقها بالأذونات ، مثل التاريخ والوقت ، والتي تتحقق منها AWS قبل تمكين إجراء ما.
بمجرد الانتهاء من إرفاق الأذونات ، يمكنك إنشاء المستخدم (اختياريًا إضافة العلامات أولاً). يتم نقلك إلى شاشة حيث يمكنك تنزيل مفاتيح الوصول أو نسخها ، وإذا كنت تضيف الوصول إلى وحدة التحكم الإدارية ، فسيظهر رابط تسجيل الدخول حيث يمكنك الإرسال إلى الموظف صاحب الحساب.
استبدل حساب الجذر الخاص بك بمستخدم IAM
توصي AWS بشدة بهذا لحسابات المؤسسة. بدلاً من استخدام حساب الجذر الخاص بك لأشياء مثل CLI الشخصي الخاص بك ، يجب عليك إنشاء مستخدم IAM "Administrator" مع وصول إلى وحدة التحكم الإدارية ، واستخدام رمز الوصول منه لمصادقة الجهاز الطرفي الشخصي.
هذا لا يعني أنه يجب عليك التعامل مع بيانات الاعتماد الخاصة بمستخدم IAM هذا على أنها أقل أمانًا من حساب الجذر الخاص بك - حيث لا يزال من الممكن أن تدمر يومك حتى يتم اختراق حساب المسؤول الخاص بك ، لذلك يجب عليك الاستمرار في استخدام حسابات الخدمة عن بُعد التطبيقات ، ولا يزال يتعين عليك بالتأكيد تمكين المصادقة متعددة العوامل لحساب IAM الخاص بالمسؤول.يعد استخدام مستخدم IAM بدلاً من حساب الجذر أكثر أمانًا ، ومع ذلك ، نظرًا لوجود إجراءات معينة على مستوى الحساب لا يمكن أن يؤديها إلا حساب الجذر الفعلي.
مع هذا الإعداد ، الشيء الوحيد الذي تستخدم حساب الجذر الخاص بك من أجله هو الأشياء فائقة الأمان والمرتبطة مباشرة بحساب الجذر الخاص بك ، مثل صيانة الحساب والفوترة. بالنسبة إلى كل شيء آخر ، فإن أذونات المسؤول كافية وتمكنك من حذف مفاتيح الوصول إلى الجذر بالفعل بحيث يمكنك فقط الوصول إلى حساب الجذر عن طريق تسجيل الدخول يدويًا (وتمرير MFA).
